Оповещение Microsoft.SecurityInsightsRules 2022-08-01
- Актуальная
- 2023-02-01-preview
- 2022-12-01-preview
- 2022-11-01
- 2022-11-01-preview
- 2022-10-01-preview
- 2022-09-01-preview
- 2022-08-01
- 2022-08-01-preview
- 2022-07-01-preview
- 2022-06-01-preview
- 2022-05-01-preview
- 2022-04-01-preview
- 2022-01-01-preview
- 2021-10-01
- 2021-10-01 — предварительная версия
- 2021-09-01-preview
- 2021-03-01-preview
- 01.01.2020
- 2019-01-01-preview
Определение ресурса Bicep
Тип ресурса alertRules является ресурсом расширения, что означает, что его можно применить к другому ресурсу.
scope
Используйте свойство этого ресурса, чтобы задать область для этого ресурса. См . раздел Установка области для ресурсов расширения в Bicep.
Список измененных свойств в каждой версии API см. в журнале изменений.
Формат ресурсов
Чтобы создать ресурс Microsoft.SecurityInsights/alertRules, добавьте в шаблон следующий код Bicep.
resource symbolicname 'Microsoft.SecurityInsights/alertRules@2022-08-01' = {
name: 'string'
kind: 'string'
scope: resourceSymbolicName
etag: 'string'
// For remaining properties, see alertRules objects
}
Объекты alertRules
Задайте свойство kind , чтобы указать тип объекта .
Для Fusion используйте:
kind: 'Fusion'
properties: {
alertRuleTemplateName: 'string'
enabled: bool
}
Для MicrosoftSecurityIncidentCreation используйте:
kind: 'MicrosoftSecurityIncidentCreation'
properties: {
alertRuleTemplateName: 'string'
description: 'string'
displayName: 'string'
displayNamesExcludeFilter: [
'string'
]
displayNamesFilter: [
'string'
]
enabled: bool
productFilter: 'string'
severitiesFilter: [
'string'
]
}
Для параметра Scheduled используйте:
kind: 'Scheduled'
properties: {
alertDetailsOverride: {
alertDescriptionFormat: 'string'
alertDisplayNameFormat: 'string'
alertSeverityColumnName: 'string'
alertTacticsColumnName: 'string'
}
alertRuleTemplateName: 'string'
customDetails: {}
description: 'string'
displayName: 'string'
enabled: bool
entityMappings: [
{
entityType: 'string'
fieldMappings: [
{
columnName: 'string'
identifier: 'string'
}
]
}
]
eventGroupingSettings: {
aggregationKind: 'string'
}
incidentConfiguration: {
createIncident: bool
groupingConfiguration: {
enabled: bool
groupByAlertDetails: [
'string'
]
groupByCustomDetails: [
'string'
]
groupByEntities: [
'string'
]
lookbackDuration: 'string'
matchingMethod: 'string'
reopenClosedIncident: bool
}
}
query: 'string'
queryFrequency: 'string'
queryPeriod: 'string'
severity: 'string'
suppressionDuration: 'string'
suppressionEnabled: bool
tactics: [
'string'
]
techniques: [
'string'
]
templateVersion: 'string'
triggerOperator: 'string'
triggerThreshold: int
}
Значения свойств
alertRules
Имя | Описание | Значение |
---|---|---|
name | имя ресурса. | строка (обязательно) |
kind | Установка типа объекта | Fusion MicrosoftSecurityIncidentCreation Запланировано (обязательно) |
область | Используйте при создании ресурса расширения в области, отличной от области развертывания. | Целевой ресурс Для Bicep задайте для этого свойства символьное имя ресурса, чтобы применить ресурс расширения. |
etag | Etag ресурса Azure | строка |
FusionAlertRule
Имя | Описание | Значение |
---|---|---|
kind | Тип правила генерации оповещений | Fusion (обязательно) |
properties | Свойства правила генерации оповещений Fusion | FusionAlertRuleProperties |
FusionAlertRuleProperties
Имя | Описание | Значение |
---|---|---|
alertRuleTemplateName | Имя шаблона правила генерации оповещений, используемого для создания этого правила. | строка (обязательно) |
Включено | Определяет, включено или отключено это правило генерации оповещений. | bool (обязательно) |
MicrosoftSecurityIncidentCreationAlertRule
Имя | Описание | Значение |
---|---|---|
kind | Тип правила генерации оповещений | MicrosoftSecurityIncidentCreation (обязательно) |
properties | Свойства правила MicrosoftSecurityIncidentCreation | MicrosoftSecurityIncidentCreationAlertRuleProperties |
MicrosoftSecurityIncidentCreationAlertRuleProperties
Имя | Описание | Значение |
---|---|---|
alertRuleTemplateName | Имя шаблона правила генерации оповещений, используемого для создания этого правила. | строка |
description | Описание правила генерации оповещений. | строка |
displayName | Отображаемое имя для оповещений, созданных этим правилом генерации оповещений. | строка (обязательно) |
displayNamesExcludeFilter | displayNames оповещений, для которых не будут создаваться случаи | string[] |
displayNamesFilter | отображаемые имена оповещений, на которых будут создаваться случаи | string[] |
Включено | Определяет, включено или отключено это правило генерации оповещений. | bool (обязательно) |
productFilter | ProductName оповещений, для которого будут создаваться обращения. | Защита идентификации Azure Active Directory "Расширенная защита от угроз Azure" "Центр безопасности Azure для Интернета вещей" 'Центр безопасности Azure' Microsoft Cloud App Security (обязательно) |
SeveritiesFilter | уровни серьезности оповещений, по которым будут создаваться обращения; | Массив строк, содержащий любой из: "Высокий" "Информационный" "Низкий" "Средний" |
ScheduledAlertRule
Имя | Описание | Значение |
---|---|---|
kind | Тип правила генерации оповещений | "Запланировано" (обязательно) |
properties | Свойства правила генерации оповещений по расписанию | ScheduledAlertRuleProperties |
ScheduledAlertRuleProperties
Имя | Описание | Значение |
---|---|---|
alertDetailsOverride | Сведения об оповещении переопределяют параметры | AlertDetailsOverride |
alertRuleTemplateName | Имя шаблона правила генерации оповещений, используемого для создания этого правила. | строка |
customDetails | Словарь строковых пар "ключ-значение" столбцов, которые должны быть присоединены к оповещению | object |
description | Описание правила генерации оповещений. | строка |
displayName | Отображаемое имя для оповещений, созданных этим правилом генерации оповещений. | string (обязательно) |
Включено | Определяет, включено или отключено это правило генерации оповещений. | bool (обязательно) |
entityMappings | Массив сопоставлений сущностей правила генерации оповещений | EntityMapping[] |
eventGroupingSettings | Параметры группировки событий. | EventGroupingSettings |
incidentConfiguration | Параметры инцидентов, созданных из оповещений, активированных этим правилом аналитики | IncidentConfiguration |
query | Запрос, который создает оповещения для этого правила. | строка |
queryFrequency | Частота выполнения этого правила генерации оповещений (в формате длительности ISO 8601). | строка |
queryPeriod | Период (в формате длительности ISO 8601), на который смотрит это правило генерации оповещений. | строка |
severity | Серьезность для оповещений, созданных этим правилом генерации оповещений. | "Высокий" "Информационный" "Низкий" "Средний" |
подавлениеduration | Подавление (в формате длительности ISO 8601) для ожидания с момента последнего запуска этого правила генерации оповещений. | string (обязательно) |
suppressionEnabled | Определяет, включено или отключено подавление этого правила генерации оповещений. | bool (обязательно) |
Тактики | Тактика правила генерации оповещений | Массив строк, содержащий любой из: "Коллекция" 'CommandAndControl' CredentialAccess 'DefenseEvasion' "Обнаружение" "Выполнение" "Кража" "Влияние" ImpairProcessControl "InhibitResponseFunction" InitialAccess 'LateralMovement' "Сохраняемость" 'PreAttack' PrivilegeEscalation 'Разведывательная' ResourceDevelopment |
Методы | Методы правила генерации оповещений | string[] |
templateVersion | Версия шаблона правила генерации оповещений, используемая для создания этого правила, в формате {a.b.c}, где все являются числами, например 0 {1.0.2} | строка |
triggerOperator | Операция с пороговым значением, которое активирует правило генерации оповещений. | "Equal" 'GreaterThan' 'LessThan' 'NotEqual' |
triggerThreshold | Пороговое значение активирует это правило генерации оповещений. | INT |
AlertDetailsOverride
Имя | Описание | Значение |
---|---|---|
alertDescriptionFormat | формат, содержащий имена столбцов для переопределения описания оповещения. | строка |
alertDisplayNameFormat | формат, содержащий имена столбцов для переопределения имени оповещения; | строка |
alertSeverityColumnName | имя столбца для получения серьезности оповещения; | строка |
alertTacticsColumnName | имя столбца для получения тактики генерации оповещений; | строка |
EntityMapping
Имя | Описание | Значение |
---|---|---|
entityType | Тип сопоставленной сущности версии 3 | "Учетная запись" AzureResource CloudApplication "DNS" "Файл" 'FileHash' "Узел" IP-адрес 'MailCluster' 'MailMessage' "Почтовый ящик" "Вредоносная программа" "Процесс" RegistryKey RegistryValue SecurityGroup Отправка почты. "URL-адрес" |
fieldMappings | массив сопоставлений полей для сопоставления данной сущности | FieldMapping[] |
FieldMapping
Имя | Описание | Значение |
---|---|---|
columnName | имя столбца, сопоставляемого с идентификатором; | строка |
идентификатор | идентификатор сущности версии 3 | строка |
EventGroupingSettings
Имя | Описание | Значение |
---|---|---|
aggregationKind | Типы агрегирования событий | AlertPerResult 'SingleAlert' |
IncidentConfiguration
Имя | Описание | Значение |
---|---|---|
createIncident | Создание инцидентов на основе оповещений, активированных этим правилом аналитики | bool (обязательно) |
groupingConfiguration | Настройка группировки оповещений, активированных этим правилом аналитики, в инциденты | GroupingConfiguration |
GroupingConfiguration
Имя | Описание | Значение |
---|---|---|
Включено | Группирование включено | bool (обязательно) |
groupByAlertDetails | Список сведений об оповещении для группировки (если выбран параметр matchingMethod) | Массив строк, содержащий любой из: DisplayName "Серьезность" |
groupByCustomDetails | Список пользовательских ключей сведений для группировки (если выбран параметр matchingMethod). Можно использовать только ключи, определенные в текущем правиле генерации оповещений. | string[] |
groupByEntities | Список типов сущностей для группировки (если выбран параметр matchingMethod). Можно использовать только сущности, определенные в текущем правиле генерации оповещений. | Массив строк, содержащий любой из: "Учетная запись" AzureResource CloudApplication DNS "Файл" FileHash "Узел" IP-адрес MailCluster MailMessage "Почтовый ящик" "Вредоносная программа" "Процесс" RegistryKey RegistryValue SecurityGroup Отправка почты. URL-адрес |
lookbackDuration | Ограничьте группу оповещениями, созданными в течение длительности просмотра (в формате длительности ISO 8601) | строка (обязательно) |
matchingMethod | Метод сопоставления группировки. Если для метода выбран хотя бы один из groupByEntities, groupByAlertDetails, groupByCustomDetails должен быть указан, а не пуст. | AllEntities 'AnyAlert' "Выбрано" (обязательно) |
reopenClosedIncident | Повторное открытие закрытых инцидентов сопоставления | bool (обязательно) |
Шаблоны быстрого запуска
Следующие шаблоны быстрого запуска развертывают этот тип ресурса.
Шаблон | Описание |
---|---|
Создает правило запланированной аналитики Microsoft Sentinel |
В этом примере показано, как создать новое правило аналитики по расписанию в Microsoft Sentinel |
Определение ресурса шаблона ARM
Тип ресурса alertRules является ресурсом расширения, что означает, что его можно применить к другому ресурсу.
scope
Используйте свойство этого ресурса, чтобы задать область для этого ресурса. См . раздел Установка области для ресурсов расширения в шаблонах ARM.
Список измененных свойств в каждой версии API см. в журнале изменений.
Формат ресурсов
Чтобы создать ресурс Microsoft.SecurityInsights/alertRules, добавьте следующий код JSON в шаблон.
{
"type": "Microsoft.SecurityInsights/alertRules",
"apiVersion": "2022-08-01",
"name": "string",
"kind": "string",
"scope": "string",
"etag": "string",
// For remaining properties, see alertRules objects
}
Объекты alertRules
Задайте свойство kind , чтобы указать тип объекта .
Для Fusion используйте:
"kind": "Fusion",
"properties": {
"alertRuleTemplateName": "string",
"enabled": "bool"
}
Для MicrosoftSecurityIncidentCreation используйте:
"kind": "MicrosoftSecurityIncidentCreation",
"properties": {
"alertRuleTemplateName": "string",
"description": "string",
"displayName": "string",
"displayNamesExcludeFilter": [ "string" ],
"displayNamesFilter": [ "string" ],
"enabled": "bool",
"productFilter": "string",
"severitiesFilter": [ "string" ]
}
Для параметра Scheduled используйте:
"kind": "Scheduled",
"properties": {
"alertDetailsOverride": {
"alertDescriptionFormat": "string",
"alertDisplayNameFormat": "string",
"alertSeverityColumnName": "string",
"alertTacticsColumnName": "string"
},
"alertRuleTemplateName": "string",
"customDetails": {},
"description": "string",
"displayName": "string",
"enabled": "bool",
"entityMappings": [
{
"entityType": "string",
"fieldMappings": [
{
"columnName": "string",
"identifier": "string"
}
]
}
],
"eventGroupingSettings": {
"aggregationKind": "string"
},
"incidentConfiguration": {
"createIncident": "bool",
"groupingConfiguration": {
"enabled": "bool",
"groupByAlertDetails": [ "string" ],
"groupByCustomDetails": [ "string" ],
"groupByEntities": [ "string" ],
"lookbackDuration": "string",
"matchingMethod": "string",
"reopenClosedIncident": "bool"
}
},
"query": "string",
"queryFrequency": "string",
"queryPeriod": "string",
"severity": "string",
"suppressionDuration": "string",
"suppressionEnabled": "bool",
"tactics": [ "string" ],
"techniques": [ "string" ],
"templateVersion": "string",
"triggerOperator": "string",
"triggerThreshold": "int"
}
Значения свойств
alertRules
Имя | Описание | Значение |
---|---|---|
тип | Тип ресурса | Microsoft.SecurityInsights/alertRules |
версия_API | Версия API ресурсов | '2022-08-01' |
name | имя ресурса. | строка (обязательно) |
kind | Установка типа объекта | Fusion MicrosoftSecurityIncidentCreation Запланировано (обязательно) |
область | Используйте при создании ресурса расширения в области, отличной от области развертывания. | Целевой ресурс Для JSON задайте значение полного имени ресурса, к который будет применяться ресурс расширения . |
etag | Etag ресурса Azure | строка |
FusionAlertRule
Имя | Описание | Значение |
---|---|---|
kind | Тип правила генерации оповещений | Fusion (обязательно) |
properties | Свойства правила генерации оповещений Fusion | FusionAlertRuleProperties |
FusionAlertRuleProperties
Имя | Описание | Значение |
---|---|---|
alertRuleTemplateName | Имя шаблона правила генерации оповещений, используемого для создания этого правила. | string (обязательно) |
Включено | Определяет, включено или отключено это правило генерации оповещений. | bool (обязательно) |
MicrosoftSecurityIncidentCreationAlertRule
Имя | Описание | Значение |
---|---|---|
kind | Тип правила генерации оповещений | MicrosoftSecurityIncidentCreation (обязательно) |
properties | Свойства правила MicrosoftSecurityIncidentCreation | MicrosoftSecurityIncidentCreationAlertRuleProperties |
MicrosoftSecurityIncidentCreationAlertRuleProperties
Имя | Описание | Значение |
---|---|---|
alertRuleTemplateName | Имя шаблона правила генерации оповещений, используемого для создания этого правила. | строка |
description | Описание правила генерации оповещений. | строка |
displayName | Отображаемое имя для оповещений, созданных этим правилом генерации оповещений. | string (обязательно) |
displayNamesExcludeFilter | displayNames оповещений, для которых не будут создаваться случаи | string[] |
displayNamesFilter | отображаемые имена оповещений, на которых будут создаваться случаи | string[] |
Включено | Определяет, включено или отключено это правило генерации оповещений. | bool (обязательно) |
productFilter | ProductName оповещений, для которого будут создаваться обращения. | Защита идентификации Azure Active Directory "Расширенная защита от угроз Azure" "Центр безопасности Azure для Интернета вещей" 'Центр безопасности Azure' Microsoft Cloud App Security (обязательно) |
SeveritiesFilter | уровни серьезности оповещений, по которым будут создаваться обращения; | Массив строк, содержащий любой из: "Высокий" "Информационный" "Низкий" "Средний" |
ScheduledAlertRule
Имя | Описание | Значение |
---|---|---|
kind | Тип правила генерации оповещений | "Запланировано" (обязательно) |
properties | Свойства правила генерации оповещений по расписанию | ScheduledAlertRuleProperties |
ScheduledAlertRuleProperties
Имя | Описание | Значение |
---|---|---|
alertDetailsOverride | Сведения об оповещении переопределяют параметры | AlertDetailsOverride |
alertRuleTemplateName | Имя шаблона правила генерации оповещений, используемого для создания этого правила. | строка |
customDetails | Словарь строковых пар "ключ-значение" столбцов, которые должны быть присоединены к оповещению | object |
description | Описание правила генерации оповещений. | строка |
displayName | Отображаемое имя для оповещений, созданных этим правилом генерации оповещений. | string (обязательно) |
Включено | Определяет, включено или отключено это правило генерации оповещений. | bool (обязательно) |
entityMappings | Массив сопоставлений сущностей правила генерации оповещений | EntityMapping[] |
eventGroupingSettings | Параметры группировки событий. | EventGroupingSettings |
incidentConfiguration | Параметры инцидентов, созданных из оповещений, активированных этим правилом аналитики | IncidentConfiguration |
query | Запрос, который создает оповещения для этого правила. | строка |
queryFrequency | Частота выполнения этого правила генерации оповещений (в формате длительности ISO 8601). | строка |
queryPeriod | Период (в формате длительности ISO 8601), на который смотрит это правило генерации оповещений. | строка |
severity | Серьезность для оповещений, созданных этим правилом генерации оповещений. | "Высокий" "Информационный" "Низкий" "Средний" |
подавлениеduration | Подавление (в формате длительности ISO 8601) для ожидания с момента последнего запуска этого правила генерации оповещений. | string (обязательно) |
suppressionEnabled | Определяет, включено или отключено подавление этого правила генерации оповещений. | bool (обязательно) |
Тактики | Тактика правила генерации оповещений | Массив строк, содержащий любой из: "Коллекция" 'CommandAndControl' CredentialAccess 'DefenseEvasion' "Обнаружение" "Выполнение" "Кража" "Влияние" ImpairProcessControl "InhibitResponseFunction" InitialAccess 'LateralMovement' "Сохраняемость" 'PreAttack' PrivilegeEscalation 'Разведывательная' ResourceDevelopment |
Методы | Методы правила генерации оповещений | string[] |
templateVersion | Версия шаблона правила генерации оповещений, используемая для создания этого правила, в формате {a.b.c}, где все являются числами, например 0 {1.0.2} | строка |
triggerOperator | Операция с пороговым значением, которое активирует правило генерации оповещений. | "Equal" 'GreaterThan' 'LessThan' 'NotEqual' |
triggerThreshold | Пороговое значение активирует это правило генерации оповещений. | INT |
AlertDetailsOverride
Имя | Описание | Значение |
---|---|---|
alertDescriptionFormat | формат, содержащий имена столбцов для переопределения описания оповещения. | строка |
alertDisplayNameFormat | формат, содержащий имена столбцов для переопределения имени оповещения; | строка |
alertSeverityColumnName | имя столбца для получения серьезности оповещения; | строка |
alertTacticsColumnName | имя столбца для получения тактики генерации оповещений; | строка |
EntityMapping
Имя | Описание | Значение |
---|---|---|
entityType | Тип сопоставленной сущности версии 3 | "Учетная запись" AzureResource CloudApplication "DNS" "Файл" 'FileHash' "Узел" IP-адрес 'MailCluster' 'MailMessage' "Почтовый ящик" "Вредоносная программа" "Процесс" RegistryKey RegistryValue SecurityGroup Отправка почты. "URL-адрес" |
fieldMappings | массив сопоставлений полей для сопоставления данной сущности | FieldMapping[] |
FieldMapping
Имя | Описание | Значение |
---|---|---|
columnName | имя столбца, сопоставляемого с идентификатором; | строка |
идентификатор | идентификатор сущности версии 3 | строка |
EventGroupingSettings
Имя | Описание | Значение |
---|---|---|
aggregationKind | Типы агрегирования событий | AlertPerResult 'SingleAlert' |
IncidentConfiguration
Имя | Описание | Значение |
---|---|---|
createIncident | Создание инцидентов на основе оповещений, активированных этим правилом аналитики | bool (обязательно) |
groupingConfiguration | Настройка группировки оповещений, активированных этим правилом аналитики, в инциденты | GroupingConfiguration |
GroupingConfiguration
Имя | Описание | Значение |
---|---|---|
Включено | Группирование включено | bool (обязательно) |
groupByAlertDetails | Список сведений об оповещении для группировки (если выбран параметр matchingMethod) | Массив строк, содержащий любой из: DisplayName "Серьезность" |
groupByCustomDetails | Список пользовательских ключей сведений для группировки (если параметр matchingMethod выбран). Можно использовать только ключи, определенные в текущем правиле генерации оповещений. | string[] |
groupByEntities | Список типов сущностей для группировки (если параметр matchingMethod выбран). Можно использовать только сущности, определенные в текущем правиле генерации оповещений. | Массив строк, содержащий любой из: "Учетная запись" AzureResource CloudApplication "DNS" "Файл" 'FileHash' "Узел" IP-адрес 'MailCluster' 'MailMessage' "Почтовый ящик" "Вредоносная программа" "Процесс" RegistryKey RegistryValue SecurityGroup Отправка почты. "URL-адрес" |
lookbackDuration | Ограничьте группу оповещениями, созданными в течение длительности обратного просмотра (в формате длительности ISO 8601). | string (обязательно) |
matchingMethod | Метод сопоставления группировки. Если для метода выбран хотя бы один из groupByEntities, groupByAlertDetails, groupByCustomDetails должен быть указан, а не пуст. | 'AllEntities' 'AnyAlert' "Выбрано" (обязательно) |
reopenClosedIncident | Повторное открытие закрытых инцидентов сопоставления | bool (обязательно) |
Шаблоны быстрого запуска
Следующие шаблоны быстрого запуска развертывают этот тип ресурса.
Шаблон | Описание |
---|---|
Создает правило запланированной аналитики Microsoft Sentinel |
В этом примере показано, как создать новое правило аналитики по расписанию в Microsoft Sentinel |
Определение ресурса Terraform (поставщик AzAPI)
Тип ресурса alertRules является ресурсом расширения, что означает, что его можно применить к другому ресурсу.
parent_id
Используйте свойство этого ресурса, чтобы задать область для этого ресурса.
Список измененных свойств в каждой версии API см. в журнале изменений.
Формат ресурсов
Чтобы создать ресурс Microsoft.SecurityInsights/alertRules, добавьте следующую terraform в шаблон.
resource "azapi_resource" "symbolicname" {
type = "Microsoft.SecurityInsights/alertRules@2022-08-01"
name = "string"
parent_id = "string"
// For remaining properties, see alertRules objects
body = jsonencode({
kind = "string"
etag = "string"
})
}
Объекты alertRules
Задайте свойство kind , чтобы указать тип объекта .
Для Fusion используйте:
kind = "Fusion"
properties = {
alertRuleTemplateName = "string"
enabled = bool
}
Для MicrosoftSecurityIncidentCreation используйте:
kind = "MicrosoftSecurityIncidentCreation"
properties = {
alertRuleTemplateName = "string"
description = "string"
displayName = "string"
displayNamesExcludeFilter = [
"string"
]
displayNamesFilter = [
"string"
]
enabled = bool
productFilter = "string"
severitiesFilter = [
"string"
]
}
Для параметра Scheduled используйте:
kind = "Scheduled"
properties = {
alertDetailsOverride = {
alertDescriptionFormat = "string"
alertDisplayNameFormat = "string"
alertSeverityColumnName = "string"
alertTacticsColumnName = "string"
}
alertRuleTemplateName = "string"
customDetails = {}
description = "string"
displayName = "string"
enabled = bool
entityMappings = [
{
entityType = "string"
fieldMappings = [
{
columnName = "string"
identifier = "string"
}
]
}
]
eventGroupingSettings = {
aggregationKind = "string"
}
incidentConfiguration = {
createIncident = bool
groupingConfiguration = {
enabled = bool
groupByAlertDetails = [
"string"
]
groupByCustomDetails = [
"string"
]
groupByEntities = [
"string"
]
lookbackDuration = "string"
matchingMethod = "string"
reopenClosedIncident = bool
}
}
query = "string"
queryFrequency = "string"
queryPeriod = "string"
severity = "string"
suppressionDuration = "string"
suppressionEnabled = bool
tactics = [
"string"
]
techniques = [
"string"
]
templateVersion = "string"
triggerOperator = "string"
triggerThreshold = int
}
Значения свойств
alertRules
Имя | Описание | Значение |
---|---|---|
тип | Тип ресурса | "Microsoft.SecurityInsights/alertRules@2022-08-01" |
name | имя ресурса. | string (обязательно) |
parent_id | Идентификатор ресурса, к который применяется этот ресурс расширения. | строка (обязательно) |
kind | Установка типа объекта | Fusion MicrosoftSecurityIncidentCreation Запланировано (обязательно) |
etag | Etag ресурса Azure | строка |
FusionAlertRule
Имя | Описание | Значение |
---|---|---|
kind | Тип правила генерации оповещений | Fusion (обязательно) |
properties | Свойства правила генерации оповещений Fusion | FusionAlertRuleProperties |
FusionAlertRuleProperties
Имя | Описание | Значение |
---|---|---|
alertRuleTemplateName | Имя шаблона правила генерации оповещений, используемого для создания этого правила. | строка (обязательно) |
Включено | Определяет, включено или отключено это правило генерации оповещений. | bool (обязательно) |
MicrosoftSecurityIncidentCreationAlertRule
Имя | Описание | Значение |
---|---|---|
kind | Тип правила генерации оповещений | MicrosoftSecurityIncidentCreation (обязательно) |
properties | Свойства правила MicrosoftSecurityIncidentCreation | MicrosoftSecurityIncidentCreationAlertRuleProperties |
MicrosoftSecurityIncidentCreationAlertRuleProperties
Имя | Описание | Значение |
---|---|---|
alertRuleTemplateName | Имя шаблона правила генерации оповещений, используемого для создания этого правила. | строка |
description | Описание правила генерации оповещений. | строка |
displayName | Отображаемое имя для оповещений, созданных этим правилом генерации оповещений. | строка (обязательно) |
displayNamesExcludeFilter | displayNames оповещений, для которых не будут создаваться обращения; | string[] |
displayNamesFilter | displayNames оповещений, на которых будут создаваться обращения; | string[] |
Включено | Определяет, включено или отключено это правило генерации оповещений. | bool (обязательно) |
productFilter | ProductName оповещений, на котором будут создаваться обращения. | "Защита идентификации Azure Active Directory" "Расширенная защита от угроз Azure" "Центр безопасности Azure для Интернета вещей" "Центр безопасности Azure" "Microsoft Cloud App Security" (обязательно) |
severitiesFilter | серьезности оповещений, на основе которых будут создаваться обращения; | Массив строк, содержащий любой из: "High" "Информационный" "Low" "Средний" |
ScheduledAlertRule
Имя | Описание | Значение |
---|---|---|
kind | Тип правила генерации оповещений | "Запланировано" (обязательно) |
properties | Свойства правила генерации оповещений по расписанию | ScheduledAlertRuleProperties |
ScheduledAlertRuleProperties
Имя | Описание | Значение |
---|---|---|
alertDetailsOverride | Сведения об оповещении переопределяют параметры | AlertDetailsOverride |
alertRuleTemplateName | Имя шаблона правила генерации оповещений, используемого для создания этого правила. | строка |
customDetails | Словарь строковых пар "ключ-значение" столбцов для подключения к оповещению | object |
description | Описание правила генерации оповещений. | строка |
displayName | Отображаемое имя для оповещений, созданных этим правилом генерации оповещений. | строка (обязательно) |
Включено | Определяет, включено или отключено это правило генерации оповещений. | bool (обязательно) |
EntityMappings | Массив сопоставлений сущностей правила генерации оповещений | EntityMapping[] |
eventGroupingSettings | Параметры группировки событий. | EventGroupingSettings |
incidentConfiguration | Параметры инцидентов, созданных из оповещений, активированных этим правилом аналитики | IncidentConfiguration |
query | Запрос, который создает оповещения для этого правила. | строка |
queryFrequency | Частота (в формате длительности ISO 8601) для выполнения этого правила генерации оповещений. | строка |
queryPeriod | Период (в формате длительности ISO 8601), на который смотрит это правило генерации оповещений. | строка |
severity | Серьезность для оповещений, созданных этим правилом генерации оповещений. | "High" "Информационный" "Low" "Средний" |
подавлениеDuration | Подавление (в формате длительности ISO 8601) для ожидания с момента последнего запуска этого правила генерации оповещений. | строка (обязательно) |
suppressionEnabled | Определяет, включено или отключено подавление для этого правила генерации оповещений. | bool (обязательно) |
Тактики | Тактика правила генерации оповещений | Массив строк, содержащий любой из: "Коллекция" "CommandAndControl" CredentialAccess "DefenseEvasion" "Обнаружение" "Выполнение" "Кража" "Влияние" ImpairProcessControl "InhibitResponseFunction" InitialAccess "LateralMovement" "Сохраняемость" "PreAttack" PrivilegeEscalation "Разведывательная атака" "ResourceDevelopment" |
Методы | Методы правила генерации оповещений | string[] |
TemplateVersion | Версия шаблона правила генерации оповещений, используемого для создания этого правила, в формате {a.b.c}, где все являются числами, например 0 {1.0.2} | строка |
triggerOperator | Операция с пороговым значением, которое активирует правило генерации оповещений. | "Равно" "GreaterThan" "LessThan" "NotEqual" |
triggerThreshold | Пороговое значение активирует это правило генерации оповещений. | INT |
AlertDetailsOverride
Имя | Описание | Значение |
---|---|---|
alertDescriptionFormat | формат, содержащий имена столбцов для переопределения описания оповещения. | строка |
alertDisplayNameFormat | формат, содержащий имена столбцов для переопределения имени оповещения. | строка |
alertSeverityColumnName | имя столбца для получения серьезности оповещения; | строка |
alertTacticsColumnName | имя столбца для получения тактики генерации оповещений | строка |
EntityMapping
Имя | Описание | Значение |
---|---|---|
entityType | Тип сопоставленной сущности версии 3 | "Учетная запись" "AzureResource" CloudApplication "DNS" "Файл" "FileHash" "Узел" "IP" "MailCluster" "MailMessage" "Mailbox" "Вредоносные программы" "Процесс" RegistryKey "RegistryValue" "SecurityGroup" "SubmissionMail" "URL-адрес" |
fieldMappings | массив сопоставлений полей для сопоставления данной сущности | FieldMapping[] |
FieldMapping
Имя | Описание | Значение |
---|---|---|
columnName | имя столбца, сопоставляемого с идентификатором; | строка |
идентификатор | идентификатор сущности версии 3 | строка |
EventGroupingSettings
Имя | Описание | Значение |
---|---|---|
aggregationKind | Типы агрегирования событий | AlertPerResult "SingleAlert" |
IncidentConfiguration
Имя | Описание | Значение |
---|---|---|
createIncident | Создание инцидентов на основе оповещений, активированных этим правилом аналитики | bool (обязательно) |
groupingConfiguration | Настройка группировки оповещений, активированных этим правилом аналитики, в инциденты | GroupingConfiguration |
GroupingConfiguration
Имя | Описание | Значение |
---|---|---|
Включено | Группирование включено | bool (обязательно) |
groupByAlertDetails | Список сведений об оповещении для группировки (если выбран параметр matchingMethod) | Массив строк, содержащий любой из: "DisplayName" "Серьезность" |
groupByCustomDetails | Список пользовательских ключей сведений для группировки (если параметр matchingMethod выбран). Можно использовать только ключи, определенные в текущем правиле генерации оповещений. | string[] |
groupByEntities | Список типов сущностей для группировки (если параметр matchingMethod выбран). Можно использовать только сущности, определенные в текущем правиле генерации оповещений. | Массив строк, содержащий любой из: "Учетная запись" "AzureResource" CloudApplication "DNS" "Файл" "FileHash" "Узел" "IP" "MailCluster" "MailMessage" "Mailbox" "Вредоносные программы" "Процесс" RegistryKey "RegistryValue" "SecurityGroup" "SubmissionMail" "URL-адрес" |
lookbackDuration | Ограничьте группу оповещениями, созданными в течение длительности обратного просмотра (в формате длительности ISO 8601). | string (обязательно) |
matchingMethod | Метод сопоставления группировки. Если для метода выбран хотя бы один из groupByEntities, groupByAlertDetails, groupByCustomDetails должен быть указан, а не пуст. | "AllEntities" "AnyAlert" "Выбрано" (обязательно) |
reopenClosedIncident | Повторное открытие закрытых инцидентов сопоставления | bool (обязательно) |
Обратная связь
https://aka.ms/ContentUserFeedback.
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделеОтправить и просмотреть отзыв по